Skip to main content

Schrems II 决定是否意味着 Google Analytics 不符合 GDPR?

对于欧盟和美国的许多公司来说,2022 年又增加了一场需要管理的危机:继 Schrems II 宣布 Google Analytics 不符合 GDPR 之后的后续行动。

什么是施雷姆斯 II?

Data Protection Commissioner v Facebook Ireland 和 Maximillian Schrems,也称为 Schrems II,于 2020 年 7 月 16 日结束。简而言之,欧洲法院的裁决使欧盟-美国隐私盾无效,该协议规定了对个人的保护要求欧盟公民的数据发送到美国。

本案对任何美国拥有和运营的服务器的 GDPR 合规使用提出质疑,原因是来自欧盟的个人数据被发送到美国的 Facebook 云服务器,并且 - 根据 CLOUD 法案,美国外国情报监视法案和其他官方政策——然后可以被美国情报机构访问。简而言之,欧盟公民的个人数据在传输到美国公司的服务器时并未根据 GDPR 得到充分保护。

奥地利的 Schrems II 判决

在 Schrems II 决定之后,由 Max Schrems 创立的非营利性 noyb(欧洲数字权利中心)对各种将欧盟公民的数据传输给美国公司的公司提出了 101 起投诉。其中一项投诉是针对 netdocktor.at,这是一个使用 Google Analytics 跟踪网站访问者的健康网站。与许多公司一样,尽管欧洲法院做出了裁决,netdoktor 仍继续使用 Google Analytics。谷歌以及其他美国公司(亚马逊、Facebook、微软等)依靠标准合同条款(SCC)和技术和组织措施(TOM)来帮助说服欧盟合作伙伴他们的物理和数字保护措施(围绕数据中心的围栏、数据加密、假名数据等)足以保护他们的数据。

但在 netdoktor 案中,奥地利数据保护局(“Datenschutzbehörde”或“DSB”)认为这还不够。谷歌分析违反了 GDPR他们解释说:

关于所概述的合同和组织措施,在上述考虑的意义上,[该措施]在多大程度上是有效的,尚不清楚。”

就技术措施而言,考虑到美国法律,[该措施]实际上会在多大程度上阻止或限制美国情报机构的访问,也是无法识别的(......)。”

基于这一决定,许多专家认为这仅仅是个开始。仍有许多投诉等着上法庭,预计其他欧盟成员国也会做出类似的决定。

DSB 在他们的决定中还表示,他们将在未经欧盟数据出口商明确同意的情况下,就向美国政府的数据传输规则进一步调查谷歌。

本案尚未作出处罚,但如果法院决定这样做,处罚可能高达公司全球营业额的 4%。

对谷歌分析用户的影响

我们不是律师,我们不能提供法律建议,但似乎任何通过美国公司提供的服务处理欧盟公民数据的公司都处于危险之中。在网络分析方面,谷歌分析是世界第一,但还有很多其他需要谨慎。始终检查公司的注册地及其数据中心的位置。

从长远来看,这意味着美国政府和美国供应商将不得不对其当前的政策和基础设施做出巨大改变:通过保护外国公民数据的立法以及在美国境外托管外国数据。欧盟委员会急于寻找欧盟-美国隐私护盾的替代品,但目前尚无合法途径。谈判正在进行中,但仍需要美国方面进行法律修改。而基于当前的政治和经济环境,这些事情在可预见的未来似乎不太可能发生。

网络分析数据的未来

由于法院已经得出结论,谷歌分析不符合 GDPR,谷歌在最近的一份声明中否认了这一点,问题是公司应该从哪里获得安全、低风险的网络分析数据。第一步是研究位于欧盟的公司,这些公司使用 IP 匿名化,不存储用户数据,并且符合 GDPR、TTDSG、CCPA 和其他数据隐私法 - 例如访客分析!

德文版 DSB 的完整裁决可在此处找到。